フィッシング攻撃による何千もの家庭や企業のデバイスに IceXLoader マルウェアが投下

進行中のフィッシング攻撃により、何千もの家庭および企業ユーザーが新しいバージョンの「IceXLoader」マルウェアに感染しました。

今年の夏に最初に発見されたマルウェアローダーである IceXLoader の作成者は、ツールの機能を強化し、多段階の配信チェーンを導入するバージョン 3.3.3 をリリースしました。

Nim ベースのマルウェアが発見されたのは 2022 年 6 月、 Fortinetによって IceXLoader がバージョン 3.0 だったときでしたが、ローダーには重要な機能がなく、一般的には開発中のように見えました。

Minerva Labs は火曜日に新しい投稿を公開し、IceXLoader の最新バージョンはプロジェクトのベータ開発段階からの脱却を示していると警告しています。

サイバー犯罪のアンダーグラウンドで非常に積極的に宣伝されているマルウェアローダーにとって、この種の開発は重要であり、展開が急激に増加する可能性があります。

Table of contents

現在のチェーン攻撃

感染は、第 1 段階のエクストラクターを含むフィッシングメールを介して ZIP ファイルが届くことから始まります。

エクストラクタは、「C:Users<username>AppDataLocalTemp」の下に新しい隠しフォルダ (.tmp) を作成し、次の段階の実行可能ファイル「STOREM~2.exe」をドロップします。

次に、オペレータが選択した抽出設定によっては、感染したシステムが再起動され、コンピュータの再起動時に一時フォルダを削除するための新しいレジストリキーが追加されます。

ドロップされた実行可能ファイルは、ハードコードされた URL から PNG ファイルを取得し、難読化された DLL ファイル (IceXLoader ペイロード) に変換するダウンローダーです。

ペイロードを復号化した後、ドロッパーはチェックを実行してエミュレーター内で実行されていないことを確認し、マルウェアローダーを実行してサンドボックスを回避する前に 35 秒待機します。

最後に、プロセスハロウイングを使用して、IceXLoader が STOREM~2.exe プロセスに挿入されます。

最初の起動時に、IceXLoader バージョン 3.3.3 は、オペレータのニックネームにちなんで名付けられた 2 つのディレクトリに自身をコピーし、ホストに関する次の情報を収集して C2 に流出させます。

再起動後の持続性を確保するために、マルウェアローダーは「HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun」に新しいレジストリキーも作成します。

回避のために、AMSI.DLL でメモリ内パッチを適用する方法を使用し、Windows Defender やその他のセキュリティ製品で使用される Microsoft Windows Antimalware Scan Interface をバイパスします。

「ローダーは、Windows Defender のリアルタイムスキャンを無効にする .bat ファイルも作成して実行し、Windows Defender に除外を追加して、IceXLoader がコピーされたディレクトリをスキャンしないようにします。」 – ミネルバ研究所。

AV を無効にして除外を追加する PowerShell コマンド(Minerva Labs)

ローダーがサポートするコマンドは次のとおりです。

Minerva は、このキャンペーンの背後にいる攻撃者は、盗まれたデータを保護することに関心がないと報告しています。盗まれた情報を保持している SQLite データベースには C2 アドレスでアクセスできるからです。

公開されたデータベースには、数千の被害者に対応する記録が含まれており、家庭用 PC と企業 PC の感染が混在しています。

セキュリティ研究者は影響を受けた企業に暴露を通知しましたが、データベースは毎日新しいエントリで更新されています.